I Love Belgium... and you?
CeD
Cookies éphémères (7 jours au plus) pour les utilisateurs authentifiés uniquement. Aucun traçage.
Temporary cookies (7 days max) for authenticated users only. No tracking.
Recherche avancée

Accueil du site > II. Pro > 3. Internétique > Sécurisez votre courriel : mieux vaut prévenir que guérir

Sécurisez votre courriel : mieux vaut prévenir que guérir

26 décembre 2009, par CeD


Voir en ligne : Un papier que j’ai commis dans http://free.korben.info

L’exem­ple belge le mon­tre [1], les régle­men­ta­tions qui se pré­pa­rent en Europe visent à abo­lir le secret de la cor­res­pon­dance pri­vée ainsi que la notion de secret pro­fes­sion­nel, pour­tant garan­tis par tou­tes les cons­ti­tu­tions euro­péen­nes à l’excep­tion nota­ble de la cons­ti­tu­tion fran­çaise [2]. Une étape ulté­rieure à crain­dre est le retour de l’inter­dic­tion pure et sim­ple de la cryp­to­gra­phie. Si tel était le cas, il fau­dra pri­vi­lé­gier la sté­ga­no­gra­phie, plus dis­crète. [3]

Concrètement, cela signi­fie que votre four­nis­seur d’accès sera tenu d’archi­ver vos cour­riels pour une durée déter­mi­née et de les tenir à la dis­po­si­tion des auto­ri­tés judi­ciai­res et poli­ciè­res. Il faut noter que les FAI s’inquiè­tent à juste titre des char­ges liées à cette obli­ga­tion. Ils pour­raient ainsi être ame­nés à déve­lop­per des tech­ni­ques avan­cées de sur­veillance, non pas pour mieux vous espion­ner mais pour se confor­mer à la loi à moin­dres coûts. Par exem­ple en pas­sant votre navi­ga­tion au cri­ble pour n’archi­ver que ce qui est sus­cep­ti­ble d’inté­res­ser les auto­ri­tés (mots-clefs, sites sen­si­bles, détec­tion des com­por­te­ments de fur­ti­vité tels que la cryp­to­gra­phie et l’ano­ny­mat, etc.) : une forme de com­pli­cité objec­tive dont il convien­dra de se méfier.

D’où une pre­mière pré­cau­tion élémentaire à pren­dre : ne pas uti­li­ser les ser­veurs POP, IMAP et sur­tout SMTP [4] de votre FAI. Si vous uti­li­sez une adresse de type “web mail” en mode http (ou, mieux, https), votre FAI ne pourra pas archi­ver votre cor­res­pon­dance (à moins de tami­ser la tota­lité de votre navi­ga­tion, ce qui entraî­ne­rait des sur­coûts pro­ba­ble­ment into­lé­ra­bles).

Si en revan­che vous accé­dez à votre cour­riel par un client email (Thunderbird, Outlook etc.) à tra­vers des ser­veurs POP, IMAP et SMTP, atten­tion :

  • Évitez le service de courriel de votre FAI et préférez-lui un service tiers (Gmail, Yahoo, Hotmail, Eumx etc.). De plus, si vous changez de FAI, vous perdrez tout accès à vos courriels.
  • Oubliez le SMTP “maison” de votre FAI (par exemple smtp.orange.fr, relay.belgacom.net etc.), utilisez celui d’un service tiers (smtp.gmail.com, smtp.mail.yahoo.fr, ssl.eumx.net etc.) en mode TLS/SSL (ce que ne permettent généralement pas les smtp des FAI) ou, mieux encore, souscrivez à un service spécialisé comme outbound.mailhop.org pour quelques euros par an. Avantage collatéral : si vous vous déplacez avec votre PC et changez de connexion, vous ne devrez plus changer de smtp (celui de votre FAI est en effet inaccessible à travers toute connexion tierce). En tout état de cause choisissez des serveurs POP, IMAP et SMTP situés hors de votre pays. Si les États vénèrent les frontières, le web ignore.
EDIT 2013 - On le soupçonnait depuis longtemps, c’est aujourd’hui avéré : la plupart des services gratuits américains [5] sont sous la surveillance de la NSA. C’est le cas de Gmail, de Yahoo, et des services “offerts” par Microsoft (Skype, Hotmail, MSN) notamment. Si vos activités ne sont pas de nature à vous mettre en délicatesse avec l’administration états-unienne ce n’est pas trop gênant, mais mieux vaut le savoir. Il est aussi bon de savoir que Eumx est un service européen, payant mais pas cher, et a priori non surveillé. Mais ne vous faites aucune illusion, la surveillance d’État existe aussi en Europe.

Et bien entendu, répé­tons-le, chif­frez, chif­frez, chif­frez, même ce qui n’est pas confi­den­tiel. Créez votre clef PGP et par­ta­gez-la, c’est beau­coup moins com­pli­qué que vous le pen­sez. Ne pas chif­frer ses cour­riels, c’est exac­te­ment la même chose que dépo­ser une pho­to­co­pie de tout son cour­rier pos­tal au com­mis­sa­riat de police avant le de le jeter -sous enve­loppe trans­pa­rente et ouverte- dans la boîte aux let­tres.

À moins d’admi­nis­trer vous-même votre pro­pre ser­veur de cour­riel, sachez que toute votre cor­res­pon­dance non chif­frée peut être archi­vée en clair par votre pres­ta­taire, qu’il s’agisse de votre four­nis­seur d’accès ou d’un ser­vice tiers, et vous ne savez pas quel usage il en fait. Si ce ser­vice vous est offert par une entre­prise qui exploite également un moteur de recher­che (Gmail, Yahoo, Hotmail), la ten­ta­tion est évidemment grande d’ana­ly­ser vos échanges pour mieux cibler la publi­cité, uni­que source de finan­ce­ment de ces entre­pri­ses. La cen­tra­li­sa­tion de dizai­nes de mil­lions de comp­tes de cour­riel dans les archi­ves d’une même entre­prise peut aussi cons­ti­tuer une aubaine extra­or­di­nai­re­ment allé­chante pour les ser­vi­ces gou­ver­ne­men­taux, qui dis­po­sent d’outils puis­sants d’ana­lyse croi­sée (asso­ciant cour­riel, réseaux sociaux, télé­phone, géo­lo­ca­li­sa­tion etc.) leur per­met­tant de faire un por­trait extrê­me­ment détaillé de votre per­son­na­lité et de votre réseau de rela­tions. Alors enfon­çons le clou : chif­frez !

La dif­fi­culté, bien entendu, est que la plu­part de vos cor­res­pon­dants n’ont pas (encore) de clef de chif­fre­ment : vous ne pou­vez donc chif­frer que rare­ment, et ce qu’on vous envoie est le plus sou­vent en clair. Deux cho­ses à faire pour que cela change : (1) fai­tes du pro­sé­ly­tisme en rap­pe­lant à tous com­bien il est impru­dent de ne pas chif­frer, (2) chif­frez quand même, mais de manière symé­tri­que c’est-à-dire avec une clef uni­que de chif­fre­ment et de déchif­fre­ment, en trans­met­tant la clef à vos des­ti­na­tai­res par un autre canal (la clef étant dans ce cas à usage uni­que, en tout cas à n’uti­li­ser que deux ou trois fois au maxi­mum). Un ser­vice per­met­tant cela est LockBin.

PNG - 20.9 ko
lockbin

D’accord, c’est un peu embê­tant pour vous et sur­tout pour vos cor­res­pon­dants qui ne dis­po­sent pas for­cé­ment du savoir-faire et des outils néces­sai­res. Lorsque sur­vien­dront les pre­miè­res mani­fes­ta­tions de la dis­pa­ri­tion du secret des cor­res­pon­dan­ces pri­vées et les dom­ma­ges col­la­té­raux qui en décou­lent, on verra pro­ba­ble­ment les com­por­te­ments chan­ger : le chif­fre­ment devien­dra la norme.

Vous pou­vez aussi créer une iden­tité “PrivacyBox” per­met­tant à n’importe qui de vous écrire ano­ny­me­ment et confi­den­tiel­le­ment, sans for­cé­ment dis­po­ser d’outils de chif­fre­ment. Voici un exem­ple. [6]

Incluez dans votre signa­ture une men­tion inter­di­sant expli­ci­te­ment toute divul­ga­tion à un tiers sans votre auto­ri­sa­tion expresse, sous peine de pour­sui­tes. À défaut de pou­voir les chif­frer, signez sys­té­ma­ti­que­ment (au sens cryp­to­gra­phi­que du mot, c’est-à-dire numé­ri­que­ment) vos mes­sa­ges. Ils seront alors authen­ti­fiés et horo­da­tés de manière incontes­ta­ble. Aucune copie ne pourra vous être impu­tée sans être accom­pa­gnée de votre signa­ture et de votre auto­ri­sa­tion de divul­ga­tion (en d’autres ter­mes, vous pour­rez nier la pater­nité de tout écrit non signé et non auto­risé par vous à la divul­ga­tion). Certes, dans la plu­part des cas le des­ti­na­taire ne saura pas quoi faire de votre signa­ture atta­chée ; mais en cas de pro­blème sérieux vous pour­rez la faire valoir devant un tri­bu­nal com­pé­tent. N’oubliez pas que “nul ne peut invo­quer sa pro­pre tur­pi­tude”, c’est-à-dire uti­li­ser contre vous un écrit dont vous n’aviez pas auto­risé la divul­ga­tion.

Exemple de signa­ture type :

PNG - 10 ko
signature type

Ces recom­man­da­tions peu­vent sem­bler para­noïa­ques aujourd’hui, mais vous ver­rez bien­tôt qu’elles s’impo­se­ront (se sou­ve­nir des mésa­ven­tu­res de Jérôme Bourreau-Guggenheim, viré de TF1 pour un cour­riel privé qui a déplu à sa hié­rar­chie qui n’aurait jamais dû en avoir connais­sance).

Portfolio

signature

P.-S.

Sachez aussi que si vous avez auto­risé par inad­ver­tance un réseau social tel que Facebook à uti­li­ser votre car­net d’adres­ses pour “recher­cher des amis”, ledit car­net d’adres­ses cesse aus­si­tôt de vous appar­te­nir, défi­ni­ti­ve­ment. Facebook en fera ce qu’il vou­dra, ne s’en pri­vera d’ailleurs pas, et il n’existe à ce jour aucun moyen de reve­nir en arrière.

Notes

[1] Le Soir a sucré l’arti­cle, mais Mecanopolis a heu­reu­se­ment conservé l’infor­ma­tion. C’est peut-être signi­fi­ca­tif : il est pos­si­ble qu’on ait voulu faire dis­pa­raî­tre l’info, mais le Net n’étant pas encore contrôlé mon­dia­le­ment, ce qu’on coupe ici repousse là - pour l’ins­tant. EDIT : Mecanopolis a fait dis­pa­raî­tre l’info à son tour, mais on peut encore la trou­ver ici.

[2] Certains poli­ti­ques vou­draient intro­duire une excep­tion pour les cor­res­pon­dan­ces électroniques, mais on n’ima­gine pas un juge cons­ti­tu­tion­nel digne de ce nom accep­tant cela. Partout où le secret des cor­res­pon­dan­ces pri­vées est garanti par la loi fon­da­men­tale, il fau­dra en pas­ser par une révi­sion cons­ti­tu­tion­nelle et une abro­ga­tion de l’arti­cle 12 de la Convention Universelle des Droits de l’Homme, ce qui ne sera pas facile poli­ti­que­ment par­lant.

[3] On peut déjà noter que les solu­tions de télé­pho­nie cryp­tée récem­ment appa­rues sont stric­te­ment réser­vées aux “repré­sen­tants de l’auto­rité”, c’est-à-dire à ceux qui impo­sent au citoyen ordi­naire une sur­veillance à laquelle ils se sous­traient par la même occa­sion : vous et moi ne pour­rons jamais télé­pho­ner secrè­te­ment ; ceux qui nous sur­veillent le pour­ront. Les orga­ni­sa­tions cri­mi­nel­les et ter­ro­ris­tes aussi, bien entendu (se pro­cu­rer des armes n’a jamais été un pro­blème pour elles, il en sera évidemment de même pour les équipements pro­hi­bés de cryp­to­pho­nie).

[4] Puisque c’est par lui que pas­se­ront vos écrits

[5] Ne per­dez jamais de vue que si quel­que chose est gra­tuit, la mar­chan­dise c’est vous.

[6] Ce ser­vice a hélas cessé toute acti­vité en juin 2013, voir ici.

4 Messages de forum

  • Petite pré­ci­sion juri­di­que : Nul ne peut invo­quer sa pro­pre tur­pi­tude ne veut pas dire qu’on ne peut uti­li­ser les écrits de quelqu’un contre cette per­sonne.

    Cet adage veut dire qu’on ne peut invo­quer à son avan­tage ses pro­pres actions “mau­vai­ses” posées sciem­ment (exem­ple : on ne peut deman­der devant les tri­bu­naux rem­bour­se­ment de l’argent versé à un tueur à gage parce qu’il n’a fait son job)

    • Sécurisez votre courriel : mieux vaut prévenir que guérir 29 décembre 2009 19:09, par Claude-Eric Desguin
      Précision complémentaire : la turpitude, en l’occurrence, est le fait de ne pas respecter la mention « Pas de divulgation à un tiers sans mon autorisation explicite » que j’inclus systématiquement dans ma signature. Dans mon esprit, j’interdis par là à mon correspondant de faire état, sans ma permission, de ce que je lui écris en privé, sous peine de “turpitude”.
  • Sécurisez votre courriel : mieux vaut prévenir que guérir

    11 janvier 2010 10:47, par François Daniel Giezendnner

    Bonjour,

    Désolé d’inter­ve­nir ici, mais n’ayant pas de “point d’entrée” … pou­vez vous m’indi­quer pour spip les plu­gins au autres démar­ches que vous adop­tez pour obte­nir :

    • Le magnifique nuage de tag dynamique de la page d’accueil ?
    • La recherfche avancée

    Meilleurs mes­sa­ges

    FDG : fran­cois-daniel.gie­zen­dan­ner edu.ge.ch

    Voir en ligne : Configuration du squelette SARKA par mots-clés


Suivre la vie du site RSS site | RSS brèves RSS brèves | Plan du site | Espace privé | Écrire au taulier | Stop Spam Harvesters, Join Project Honey Pot | Creative Commons
the of a similar up
the of a similar up
the of a similar up
the of a similar up
write me